[Resolvido!] Virus em outra máquina da rede

[jgarcia 1]

Olá,

 

Consegui fazer o download que resultou neste arquivo: ELISTARA.AH%D8AB%D8%D8I.EXE com 0 kb procedi conforme instruções e parei na seguinte mensagem: não é um aplicativo win32 válido.

 

Obs.: o anti-vírus foi acionado automaticamente e acusou como trojan Zlob.

Tente executar a ferramenta em Modo Seguro e desabilite o AV antes de executá-la.

 

PS.: Desculpe a imensa demora, pois o tempo anda curto. :(

[jucca 0]

Olá,

 

aqui vai o log do EliStarA

 

Mon Jan 26 11:08:01 2009

EliStartPage v17.86 ©2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Application Data%\GbPlugin"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

 

Mon Jan 26 11:08:28 2009

EliStartPage v17.86 ©2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Um\Meus documentos\Particular\GerTransp\Iexe\ISERIUSAF.EXE --> Eliminado, P2PAdware.A

C:\Documents and Settings\Um\Meus documentos\Particular\GerTransp\AdmTransp\ADMOP.EXE --> Eliminado, Guiños(msn)

C:\System Volume Information\_restore{7861127C-E3B9-489F-A71F-9422B20404C2}\RP1\A0000049.EXE --> Eliminado, Autoit.FQ

 

Nº Total de Directorios: 5172

Nº Total de Ficheros: 65551

Nº de Ficheros Analizados: 22867

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

[jgarcia 1]

Opa jucca,

 

1. Baixe o BankerFix 3.0.

 

2. Desative o seu anti-vírus temporariamente.

 

3. Dê um duplo-clique sobre o bankerfix.exe. A janela do Banker Fix 3.0 abrir-se-á com a seguinte pergunta Instalar o BankerFix 3.0 / Install BankerFix 3.0 ? >> clique em SIM.

 

4. Uma janela informando que o BankerFix 3.0 será baixado via internet abrir-se-á >> clique sobre OK e aguarde. Na próxima janela clique em OK mais uma vez, a fim de que o BankerFix 3.0 seja iniciado.

 

5. Pressione qualquer tecla para dar continuidade ao processo e aguarde até que a varredura se complete. Tenha paciência, pois ela pode demorar alguns minutos.

 

6. Terminado o scan, leia a mensagem na tela e aperte Enter.

 

7. Habilite o seu anti-vírus.

 

8. Retorne com o relatorio.txt do BankerFix (ele estará em C:\LinhaDefensiva\).

 

9. Depois de postar a sua resposta você poderá deletar a pasta LinhaDefensiva contida no C.

 

Abraços.

 

PS.: Caso apareça a seguinte mensagem: Site denunciado como foco de ataques!, não se preocupe e clique sobre Ignorar este alerta.

[jucca 0]

Olá,

 

log do BankerFix

 

 

BankerFix 3.0 VALKYRIE - Removedor de Bankers

Linha Defensiva | http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

-------------------------------------------------------

Data: 2009-01-30 - 18:50

-------------------------------------------------------

Lista de Definição: 2009-01-21-2 | CORE: 2009-01-21-1

=======================================================

 

Arquivo infectado detectado: \autoexec.bat

Arquivo infectado removido com sucesso!

 

 

 

----- Fim -------------------------

[jgarcia 1]

Opa jucca,

 

1. Baixe o DDS e salve-o em seu Desktop.

 

2. Desabilite seu anti-vírus temporiamente.

 

3. Dê duplo-clique sobre o ícone alocado em seu Desktop.

 

4. Quando a janela se abrir solicitando autorização para a execução do arquivo, clique sobre Executar.

 

5. Uma janela abrir-se-á, conforme abaixo ilustrado:

 

6. O DDS iniciará a varredura na máquina.

 

7. Ao fim do processo dois arquivos serão criados: dds.txt e attach.txt.

 

8. Preciso que você poste o conteúdo do dds.txt em sua próxima resposta.

 

Abraços.

[jucca 0]

Olá,

 

Segue aqui o log do DDS:

 

 

DDS (Ver_09-02-01.01) - FAT32x86

Run by Um at 16:00:28,32 on ter 03/02/2009

Internet Explorer: 7.0.5730.13 BrowserJavaVersion: 1.6.0_11

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.2047.1506 [GMT -2:00]

 

AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated)

 

============== Running Processes ===============

 

C:\windows\system32\svchost -k DcomLaunch

SVCHOST.EXE

C:\windows\System32\svchost.exe -k netsvcs

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

SVCHOST.EXE

SVCHOST.EXE

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\windows\system32\spoolsv.exe

C:\Arquivos de programas\Symantec AntiVirus\DefWatch.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\CDBurnerXP\NMSAccessU.exe

C:\windows\system32\nvsvc32.exe

C:\Arquivos de programas\Symantec AntiVirus\Rtvscan.exe

C:\windows\system32\ctfmon.exe

C:\windows\Explorer.EXE

C:\Arquivos de programas\VMware\VMware Workstation\vmware-authd.exe

C:\Arquivos de programas\Arquivos comuns\VMware\VMware Virtual Image Editing\vmount2.exe

C:\WINDOWS\system32\vmnat.exe

C:\WINDOWS\system32\vmnetdhcp.exe

C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\Smax4.exe

C:\Arquivos de programas\Fábrica de Bits\ACORDA\acorda.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

C:\ARQUIV~1\SYMANT~1\VPTray.exe

C:\Arquivos de programas\Google\Gmail Notifier\gnotify.exe

C:\windows\system32\RUNDLL32.EXE

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\Arquivos de programas\Microsoft Money\System\reminder.exe

C:\Documents and Settings\Um\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe

C:\windows\system32\svchost.exe -k imgsvc

C:\windows\system32\wscntfy.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Um\Desktop\dds.scr

 

============== Pseudo HJT Report ===============

 

uStart Page = about:blank

mStart Page = about:blank

uURLSearchHooks: Barra de Ferramentas do Yahoo! com bloqueador de pop-up: {ef99bd32-c1fb-11d2-892f-0090271d4f88} -

mWinlogon: Userinit=c:\windows\system32\userinit.exe

BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\arquiv~1\spybot~1\SDHelper.dll

BHO: Java Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\arquivos de programas\java\jre6\bin\ssv.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\arquivos de programas\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\arquivos de programas\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: Barra de Ferramentas do Yahoo! com bloqueador de pop-up: {ef99bd32-c1fb-11d2-892f-0090271d4f88} -

uRun: [Reminder] c:\arquivos de programas\microsoft money\system\reminder.exe

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

uRun: [Google Update] "c:\documents and settings\um\configurações locais\dados de aplicativos\google\update\GoogleUpdate.exe" /c

mRun: [High Definition Audio Property Page Shortcut] HDAShCut.exe

mRun: [soundMAXPnP] c:\arquivos de programas\analog devices\core\smax4pnp.exe

mRun: [soundMAX] "c:\arquivos de programas\analog devices\soundmax\Smax4.exe" /tray

mRun: [ACORDA] c:\arquivos de programas\fábrica de bits\acorda\acorda.exe

mRun: [ccApp] "c:\arquivos de programas\arquivos comuns\symantec shared\ccApp.exe"

mRun: [vptray] c:\arquiv~1\symant~1\VPTray.exe

mRun: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] c:\arquivos de programas\google\gmail notifier\gnotify.exe

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [nwiz] nwiz.exe /install

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [sunJavaUpdateSched] "c:\arquivos de programas\java\jre6\bin\jusched.exe"

mPolicies-explorer: NoPopUpsOnBoot = 1 (0x1)

IE: Add to EverNote - c:\arquivos de programas\evernote\evernote\enbar.dll/2000

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\micros~2\office11\EXCEL.EXE/3000

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\micros~2\office11\REFIEBAR.DLL

IE: {A5ABA0BB-F195-40d8-A5E9-0801153E6597} - {2151DA8C-C5B6-4B4F-86AB-BDA449BF8747} - c:\arquivos de programas\evernote\evernote\enbar.dll

IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\arquiv~1\spybot~1\SDHelper.dll

DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - hxxp://www.eset.eu/buxus/docs/OnlineScanner.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} - hxxps://imagem.caixa.gov.br/cab/gbpdist.cab

DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} - hxxps://secure.logmein.com/activex/ractrl.cab?lmi=100

TCP: {3FC3B0ED-1D34-4E79-A979-0B23D10D35BF} = 192.168.1.254

Notify: GbPluginCef - c:\arquivos de programas\gbplugin\gbiehcef.dll

Notify: LMIinit - LMIinit.dll

Notify: NavLogon - c:\windows\system32\NavLogon.dll

SEH: DVDIdleShell Class: {93994de8-8239-4655-b1d1-5f4e91300429} - c:\arquiv~1\dvdreg~1\DVDShell.dll

SEH: GbPlugin ShlObj: {e37cb5f0-51f5-4395-a808-5fa49e399003} - GbPluginObj Class

 

================= FIREFOX ===================

 

FF - ProfilePath - c:\docume~1\um\dadosd~1\mozilla\firefox\profiles\z4xpf124.default\

FF - component: c:\arquivos de programas\evernote\evernote\fftbclipper\components\enbar.dll

FF - component: c:\arquivos de programas\mozilla firefox\extensions\talkback@mozilla.org\components\qfaservices.dll

FF - component: c:\documents and settings\um\dados de aplicativos\mozilla\firefox\profiles\z4xpf124.default\extensions\{87f8774f-b485-47e2-a755-a40a8a5e886d}\components\GbMzhCef.dll

 

---- FIREFOX POLICIES ----

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: content.switch.threshold - 650000

FF - user.js: nglayout.initialpaint.delay - 300

 

============= SERVICES / DRIVERS ===============

 

R1 SAVRT;SAVRT;c:\arquivos de programas\symantec antivirus\savrt.sys [2005-12-19 337592]

R1 SAVRTPEL;SAVRTPEL;c:\arquivos de programas\symantec antivirus\Savrtpel.sys [2005-12-19 54968]

R2 BulkUsb;Genius ColorPage USB Scanner;c:\windows\system32\drivers\usbscan.sys [2007-12-24 15104]

R2 ccEvtMgr;Symantec Event Manager;c:\arquivos de programas\arquivos comuns\symantec shared\ccEvtMgr.exe [2006-3-7 192160]

R2 ccSetMgr;Symantec Settings Manager;c:\arquivos de programas\arquivos comuns\symantec shared\ccSetMgr.exe [2006-3-7 169632]

R2 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [2008-3-11 46112]

R2 Symantec AntiVirus;Symantec AntiVirus;c:\arquivos de programas\symantec antivirus\Rtvscan.exe [2006-3-17 1799408]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\arquivos de programas\arquivos comuns\symantec shared\eengine\EraserUtilRebootDrv.sys [2008-11-1 99376]

R3 NAVENG;NAVENG;c:\arquiv~1\arquiv~1\symant~1\virusd~1\20090130.003\naveng.sys [2009-1-30 89104]

R3 NAVEX15;NAVEX15;c:\arquiv~1\arquiv~1\symant~1\virusd~1\20090130.003\navex15.sys [2009-1-30 876112]

S2 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\arquivos de programas\logmein\x86\rainfo.sys --> c:\arquivos de programas\logmein\x86\RaInfo.sys [?]

S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [2007-12-22 5824]

S3 SavRoam;SAVRoam;c:\arquivos de programas\symantec antivirus\SavRoam.exe [2006-3-17 115952]

S4 LMIRfsClientNP;LMIRfsClientNP; [x]

UnknownUnknown GbpSv;GbpSv; [x]

 

============== File Associations ===============

 

inffile=Notepad.exe "%1"

inifile=Notepad.exe "%1"

txtfile=Notepad.exe "%1"

 

=============== Created Last 30 ================

 

2009-01-07 11:45 512,000 -------- c:\windows\system32\dllcache\jscript.dll

2009-01-07 11:45 430,080 -------- c:\windows\system32\dllcache\vbscript.dll

2009-01-07 11:45 180,224 -------- c:\windows\system32\dllcache\scrobj.dll

2009-01-07 11:45 172,032 -------- c:\windows\system32\dllcache\scrrun.dll

2009-01-07 11:45 155,648 -------- c:\windows\system32\dllcache\wscript.exe

2009-01-07 11:45 135,168 -------- c:\windows\system32\dllcache\cscript.exe

2009-01-07 11:45 90,112 -------- c:\windows\system32\dllcache\wshext.dll

2009-01-06 20:39 272,384 -------- c:\windows\system32\dllcache\bthport.sys

2009-01-06 20:38 138,496 -------- c:\windows\system32\dllcache\afd.sys

2009-01-06 20:37 333,952 -------- c:\windows\system32\dllcache\srv.sys

2009-01-06 20:37 1,846,528 -------- c:\windows\system32\dllcache\win32k.sys

2009-01-06 20:35 2,193,408 -------- c:\windows\system32\dllcache\ntoskrnl.exe

2009-01-06 20:35 2,149,376 -------- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-01-06 20:35 2,070,272 -------- c:\windows\system32\dllcache\ntkrnlpa.exe

2009-01-06 20:35 2,028,032 -------- c:\windows\system32\dllcache\ntkrpamp.exe

2009-01-06 20:34 203,136 -------- c:\windows\system32\dllcache\rmcast.sys

2009-01-06 20:33 455,296 -------- c:\windows\system32\dllcache\mrxsmb.sys

2009-01-06 20:32 691,712 -------- c:\windows\system32\dllcache\inetcomm.dll

2009-01-06 20:32 337,408 -------- c:\windows\system32\dllcache\netapi32.dll

2009-01-06 20:26 <DIR> --d----- c:\windows\system32\bits

2009-01-06 20:26 <DIR> --d----- c:\windows\l2schemas

2009-01-06 20:25 <DIR> --d----- c:\windows\ServicePackFiles

2009-01-06 14:08 1,309,184 -------- c:\windows\system32\drivers\mtlstrm.sys

2009-01-05 15:30 <DIR> --d----- c:\docume~1\um\dadosd~1\Software Informer

2009-01-05 15:12 <DIR> --d----- c:\docume~1\um\dadosd~1\IObit

2009-01-05 15:12 <DIR> --d----- c:\arquivos de programas\IObit

 

==================== Find3M ====================

 

2009-01-06 20:32 468,316 a------- c:\windows\system32\perfh016.dat

2009-01-06 20:32 77,406 a------- c:\windows\system32\perfc016.dat

2008-12-16 15:03 400,384 a------- c:\windows\system32\CF23013.exe

2008-12-16 14:48 400,384 a------- c:\windows\system32\CF20106.exe

2008-12-13 04:38 3,593,216 -------- c:\windows\system32\dllcache\mshtml.dll

2008-12-13 00:16 400,384 a------- c:\windows\system32\CF18637.exe

2008-12-13 00:06 400,384 a------- c:\windows\system32\CF16616.exe

2008-12-11 08:57 333,952 a------- c:\windows\system32\drivers\srv.sys

2008-12-09 16:27 400,384 a------- c:\windows\system32\CF30496.exe

2008-12-09 16:09 400,384 a------- c:\windows\system32\CF27038.exe

2008-12-09 16:03 400,384 a------- c:\windows\system32\CF25761.exe

2008-12-04 16:57 400,384 a------- c:\windows\system32\CF1969.exe

2008-12-03 13:44 400,384 a------- c:\windows\system32\CF9606.exe

2008-12-03 13:38 400,384 a------- c:\windows\system32\CF8440.exe

2008-12-02 21:08 410,984 a------- c:\windows\system32\deploytk.dll

2008-12-02 20:07 400,384 a------- c:\windows\system32\CF31960.exe

2008-12-02 19:05 400,384 a------- c:\windows\system32\CF19760.exe

2008-12-02 15:48 400,384 a------- c:\windows\system32\CF13984.exe

2008-11-07 16:45 2,174,976 a------- c:\windows\system32\dllcache\WMVCore.dll

 

============= FINISH: 16:00:38,82 ===============

[jgarcia 1]

Opa jucca,

 

O seu log está limpo. Os problemas persistem?

[jucca 0]

Olá,

 

os problemas não persistem, vou menter o pc em observação por mais um tempo.

 

Por ora agradeço.

[jgarcia 1]

Opa jucca,

 

Fico feliz por saber que o seu problema foi resolvido. :thumbsup:

 

Bem, para finalizar:

 

1. Desabilite e Reabilite a função de Restauração Automática do XP. Clique aqui e saiba como;

 

2. Atualize o seu Sistema Operacional urgentemente.

 

Para que tenha uma idéia, já foram lançados 03 (três) grandes pacotes de atualização (SP1, SP2 e SP3) e você só possui o segundo deles instalado (SP2). Utilize o Windows UpDate contido no menu Iniciar para atualizar o seu sistema (SP3) ou clique sobre este link;

 

3. Leia o artigo Cuidados ao navegar na net para maiores informações sobre como evitar novas infecções.

 

Abraços.

[jucca 0]

Olá,

 

já atualizei o sistema operacional e as suas sugestões.

 

Por hora obrigado

 

Jucca.

[jgarcia 1]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.